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Abstract of DE10131395 

The invention relates to a method for transmitting software modules from a central unit to a mobile device, 
especially to a means of transport. To achieve this, a bi-directional wireless data transmission device is 
used and a set of software modules is selected. The configuration of the mobile device, which is actually 
available as transmission begins, is transmitted to the central unit. It is then necessary to check which 
software modules are released for the actually available configuration. Appliance-type identifications for 
the target appliances and software-type identifications for the software modules are used in release 
definitions which are applied in a release test. The software modules which are selected and released for 
the actually available configuration are transmitted. Said method can be used in the same way for 
supplying a single mobile device or families of mobile devices which are rich or deficient in variants. 
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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren zum Ubertragen von Software- Modulen 

® Die Erfindung betrifft eine Verfahren zum Ubertragen 
von Software-Modulen von einer Zentrale zu einer mobi- 
len Vorrichtung, insbesondere zu einem Verkehrs- Oder 
Transportmittel. Fur die Obertragung wird eine Einrich- 
tung zur drahtlosen Datenubertragung in beiden Richtun- 
gen verwendet, und eine Menge von Software-Modulen 
wird ausgewahlt. Die aktuelle Konfiguration der mobilen 
Vorrichtung wird an die Zentrale ubermittelt. Gepriift 
wird, welche dieser Software-Module fur die aktuelle 
Konfiguration freigegeben sind. Die ausgewahlten und 
fur die aktuelle Konfiguration freigegebenen Software- 
Module werden ubertragen. Vorzugsweise werden fur die 
Ziel-Gerate Gerate-Typ-Kennungen und fur die Software- 
Module Software-Typ-Kennungen in Freigabe-Festlegun- 
gen verwendet. Diese Freigabe-Festlegungen werden bei 
einer Freigabe-Prufung verwendet. Das Verfahren ist in 
gleicher Weise fur die Versorgung einer einzelnen mobi- 
len Vorrichtung wie auch fur Familien von variantenrei- 
chen oder variantenarmen mobilen Vorrichtungen an- 
wendbar. 


UJ 


BUNDESDRUCKEREI 11.02 102 640/195/1 


13 


DE 101 31 395 A 1 


Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zum Ubertragen von Software-Modulen von einer Zentrale zu einer mobi- 
len Vorrichtung, vorzugsweise zu einern Verkehrs- oder Transportmittel, mil Hilfe einer Einrichtung zur drahtlosen Da- 

5 tenubertragung in beide Richtungen. 

[0002] In mobilen Vorrichtungen, insbesondere in Kraflfahrzeugen, wird eine steigende Anzahl von Geraten verwen- 
det, die durch Software-Module gcstcuert werden, z. B. Tur-Stcucrgcrate. Manchc Gcratc, z. B. clcktronischc Navigati- 
onssysteme und Systeme zur Sprachausgabe, benotigen umfangreiche Datenbibliotheken. Um mobile Vorrichtungen an 
individuelle Anforderungen und Wiinsche von Benutzem oder Betreibern anzupassen, werden oft Ziel-Gerate in vielen 

10 unterschiedlichcn Versionen und Varianten hergestellt und eingcbaut, manchmal auch nachtraglich. Durch die Kombina- 
tion von Varianten entsteht eine hohe Zahl unterschiedlicher Konfigurationen von Ziel-Geraten an Bord von mobilen 
Vorrichtungen, die zu einer Familie von mobilen Vorrichtungen gehoren. Der Hersteller einer mobilen Vorrichtung hat 
trotz dcr Variantenvielfalt zu gcwahrleisten, daB diese Ziel-Gerate in jcdcr freigcgcbcncn Kombination im laufcndcn Be- 
trieb sicher zusammenspielen. 

15 [0003] Mit "Software-Module" werden insbesondere Programme oder Teile von Programmen, die an Bord von mobi- 
len Vorrichtungen ausgefuhrt werden, und Daten fiir solche Programme oder fiir Ziel-Gerate sowie Parameter von Ziel- 
Geraten bezeichnet. Mit "Ziel-Geraten" werden diejenigen daten verarbeitenden Gerate an Bord einer mobilen M>rrich- 
tung bezeichnet, fiir die Software-Module zu ubertragen sind, hierzu zahlen insbesondere Steuergerate z. B. fur Tiiren 
oder die Klimaanlage. Ein zu ubertragender Parameter beeinfluBt beispielsweise die Funktionsweise eines Ziel-GeraLs 

20 oder aktiviert oder deaktiviert ein Programm an Bord der mobilen Vorrichtung. 

[0004] Es ist heute noch iiblich, zum nachtraglichen tJbertragen von Software-Modulen in mobile \fcrrichtungen die 
Ziel-Gerate z. B. in einer Werkstatt auszubauen, mit den gewiinschten Software-Modulen zu versehen und dann wieder 
einzubauen. In manchen Fallen muB das Ziel-Gerat sogar zum Hersteller geschickt werden, der zcntral die Software-Mo- 
dule ubertragt. Diese Wege sind teuer und zeitaufwendig. 

25 [0005] Aus DE 1 97 50 372 A 1 ist ein Verfahren zum Ubertragen von Programmen und/oder Daten von einem zentra- 
len Server an ein Fahrzeug bekannt. Die tfoertragung erfolgt per Funkverbindung. Fahrzeug und Server haben je ein 
Sende- und Empfangsgerat. Die ZugrifFsberechtigung des Benutzers wird gepruft, hierzu werden Daten vom Fahrzeug 
an die Zentrale gemeldet. 

[0006] In DE 198 53 000 Al wird ein Verfahren zum Vcrsorgen von Kraftfahrzeugcn mit Daten sowie zum Austausch, 
30 Abfragen, Andern, Aktualisieren von Daten offenbart. Verwendet wird eine drahtlose Datenubertragungseinrichtung. 
Die Daten sind vorzugsweise Oberwachungsdaten, z. B. Betriebsdaten von Bremsen, Fahrwerk, Olstand, oder Pro- 
gramme oder Programmteile. 

[0007] Aus DE 195 32 067 CI ist ein Verfahren zum Einprogrammieren von Daten in ein Fahrzeug-Bauteil bekannt. 
Daten werden von einer Zentrale an die anfordernde S telle ubertragen. Insbesondere um unberechdgten ZugrifF auf die 
35 ubertragenen Daten zuverlassig zu unterbinden, werden Informationen zur Identitat von Fahrzeug, Bauteil und Nutzer an 
die Zentrale iibermittelt. 

[0008] Aus DE 199 21 845 A 1 ist eine Diagnosetestvorrichtung fur Kraftfahrzeuge mit programmierbaren Steuergera- 
ten bekannt. Ein externer Diagnosetester ist mit einer Programmerkennungs- und Programmlade vorrichtung ausgestat- 
tet. Bci Bedarf wird die jeweils aktuellstc Version eines Programms in den Programmspeicher des entsprechenden Stcu- 
40 ergerats geladen. 

[0009] Die oben genannten Druckschriften offenbaren Verfahren, um Software-Module an eine mobile Vorrichtung zu 
ubermitteln und dabei bei Bedarf Berechtigungs- und Freigabepriifungen durchzufuhren. Die Priifungen beziehen sich 
jeweils auf eine einzelne mobile Vorrichtung. Jedoch wird bei den Verfahren nicht die Moglichkeit berucksichtigt, daB 
Software-Module an variantenreiche mobile Vorrichtungen zu ubertragen sind. Der Variantenreichtum wird auch nicht 

45 dadurch berucksichtigt, daB - wie in DE 198 53 000 Al - Oberwachungsdaten vom Fahrzeug an die Zentrale ubermittclt 
werden. Der Variantenreichtum resultiert beispielsweise daher, daB in verschiedenen Exemplaren einer Familie von mo- 
bilen Vorrichtungen, z. B. einer Fahrzeugflotte, unterschiedliche Ziel-Gerate eingebaut sind oder daB Ziel-Gerate in un- 
terschiedlichen Versionen und Varianten verwendet werden oder verschiedene Software-Module aktiviert worden sind. 
Der Variantenreichtum kann zu einer riesigen Zahl unterschiedlicher Priifungen fuhren, die nicht mit vertretbarem Auf- 

50 wand definiert und validiert werden kbnnen. Weiterhin wird nicht die Moglichkeit berucksichtigt, daB ein Benutzer oder 
Betreiber einer mobilen Vorrichtung ein Ziel-Gerat erneuert oder nachtraglich erganzt, ohne daB der Hersteller der mo- 
bilen Vorrichtung hieruber informicrt wird und dies bei einer Frcigabc-Prufung nach dem Stand dcr Tcchnik bcriicksich- 
tigen kann. Auch beim Verfahren nach DE 195 32 067 CI, bei dem Informationen uber die Fahrzeug-Identitat an die 
Zentrale iibermittelt werden, werden nachtragliche Anderungen nicht berucksichtigt. Zwar kann die Zentrale sich eine 

55 abgcspcichcrte Konfigurations-Datci des Fahrzeugs beschafFen, diese Informationen konncn abcr falsch oder vcraltct 
sein. 

[0010] Variantenreichtum und nachtragliche Anderungen sind aber zu beriicksichtigen, um sicherzustellen, daB zu je- 
der mobilen Vorrichtung die richtigen Software-Module ubertragen werden und sichergestellt wird, daB die ubertragenen 
Software-Module auf dem Fahrzeug fehlerfrei miteinander und mit den Ziel-Geraten an Bord zusaimnenspielen und 

60 nicht zu unerwiinschten oder fehlerhaften Betriebszustanden fuhren. 

[0011] Der Erfindung liegt die Aufgabc zugrundc, cin Verfahren dcr cingangs bcschricbcncn Art zu schaffen, das die 
beschriebenen Nachteile vermeidet. Insbesondere soli gewahrleistet werden, daB bei variantenreichen Familien von mo- 
bilen Vorrichtungen mit Ziel-Geraten verschiedener Hersteller oder bei nachtraglichen Anderungen an einzelnen mobi- 
len Vorrichtungen nur die richtigen und keine anderen Software-Module ubertragen werden. Weiterhin ist eine Vorrich- 

65 tung zur Durchfuhrung des Vcrfahrcns zu schaffen. 

[0012] Die Aufgabe wird durch ein Verfahren nach Anspruch 1 und durch eine Vorrichtung nach Anspruch 12 gelosl. 
Vorteilhafte Ausgestaltungen werden durch die Unteranspruche beschrieben. 

[0013] Fiir die Ubcrtragung wird cine Einrichtung zur drahtlosen Datcnubcrtragung in beiden Richtungen verwendet, 
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und eine Menge von Software-Modulen wird ausgewahit. Diese Menge bestehl aus mehreren Software-Modulen oder 
aus nur einem einzigen Software-Modul. Informationen iiber die aktuelle Konfiguration der mobilen \brrichtung werden 
an die Zentrale ubermittelt. Diese Informationen umfassen eine Auflistung, welche Ziel-Gerate und welche Software- 
Module vor Beginn der Ubertragung an Bord der mobilen Vorrichtung tatsachlich vorhanden sind. Gepriift wird, welche 
dieser Software-Module fur die aktuelle Konfiguration freigegeben sind. Die ausgewahlten und fur die aktuelle Konfigu- 5 
ration freigegebenen Software-Module werden ubertragen. 

[0014] Vorzugsweise werden fur eine Freigabe-Prufung Freigabe-Festlegungcn verwendct, die wic folgt erzcugt wer- 
den (Anspruch 2): Fur die Ziel-Gerate werden Gerate-iyp- Kennungen festgelegt, also Kennungen fur die TVpen von 
Ziel-Geraten. Fur die Software-Module werden Software-iyp-Kennungen festgelegt. Unter Verwendung der Gerate- 
Typ- Kennungen und Softwarc-iyp-Kcnnungen wird festgelegt, welche der ausgewahlten Software-Module fur welche 10 
T\pen von Ziel-Geraten freigegeben sind. 

[0015] Diese Freigabe-Festlegungen werden bei der Freigabe-Prufung verwendet. 

[0016] Das Verfahren ist in glcicher Weise fur die Vcrsorgung cincr einzelnen mobilen Vorrichtung wic auch filr Fami- 
lien von variantenreichen oder variantenarmen mobilen \fcrrichtungen anwendbar. Insbesondere werden auch dann zu- 
verlassig die richtigen und keine anderen Software-Module ausgewahit und ubertragen, wenn in der mobilen \brrichtung L5 
mehrere Ziel-Gerate unterschiedlicher Hersteller vorhanden sind und diese Ziel-Gerate in unterschiedlichen Versionen 
und Varianten vorkommen, die unterschiedliche Software-Module benotigen. 

[0017] Die richtigen Software-Module werden auch dann ausgewahit und ubertragen, wenn ein Benutzer oder Betrei- 
ber der mobilen Vorrichtung ein Ziel-Gerat durch ein andersartiges ersetzt hat oder nachtraglich ein weiteres Ziel-Gerat 
erganzt hat. Dies wird insbesondere dadurch erreicht, daB crmittclt wird, welche Ziel-Gerate und Software-Module sich 20 
zum Zeitpunkt der tibertragung tatsachlich in der mobilen Vorrichtung befinden. Nicht mehr erforderlich ist es, eine Ab- 
frage in einer zentralen Datenbank mit Konfigurationen von mobilen Vorrichtungen durchzufuhren. Die Eintrage in einer 
solchen zentralen Datenbank konnen veraltct sein, z. B. weil ein Ziel-Gerat durch ein andersartiges ersetzt wurdc oder 
ein Ziel-Gerat erganzt oder entfernt wurde, ohne daB der Hersteller hieruber informiert wurde. 

[0018] Dank der Verwendung einer drahtlosen Datenubertragungseinrichtung ist es nicht erforderlich, daB die mobile 25 
Vorrichtung zum Ubertragen in eine Werkstatte gefahren oder transportiert wird. Es ist moglich, ein Software-Modul be- 
reits unmittelbar nach seiner Fertigstellung und/oder Freigabe zu ubertragen. 

[0019] Einige beispielhafte Anwendungen, in denen das erfindungsgemaBe Verfahren Vorteile gegeniiber dem Stand 
der Technik crbringt, sind die folgenden: 

30 

- Auf Initiative des Kundendienstes eines Fahrzeugherstellers wird eine KundendienstmaBnahme fur alle Fahr- 
zeuge eines TVps durchgefuhrt. Beispielsweise wird fiir alle Fahrzeuge einer Baureihe und eines Baujahrs eine neue 
Version eines Software-Moduls ubertragen. Oder eine gesetzliche Bestimmung in einem Staal wird geandert, und 
Software-Module werden an Fahrzeuge in diesem Staat ubertragen, um den geanderten Gesetzen nachzukommen. 
Besitzer und Nutzer der mobilen Vorrichtung werden informiert, und die Software-Module werden bei Einverstand- 35 
nis crfindungsgemaB ubertragen. Durch das erfindungsgemaBe Verfahren ist cs nicht erforderlich, daB ein Fahrzcug 
des lyps in eine Werkstatt gebracht wird, und es wird sichergestellt, daB die neue Version des Software-Moduls nur 
auf diejenigen Fahrzeuge iibertagen wird, fur deren Konfigurationen sie freigegeben ist. 

- Fiir einen bestimmten Fahrzeugtyp sollen urnfangreiche Betriebsdaten an Bord aufgezeichnet, vorvcrarbeitet und 

an eine Zentrale ubermittelt werden. Ein Programm, das die Aufzeichnung, Vorverarbeitung und Ubermittlung 40 
iibernimmt und dabei die Daten gegen unbefugten Zugriff sichert, wird durch das erfindungsgemaBe Verfahren 
iibertragen, nachdem der Eigentiimer hierzu sein Einverstandnis gegeben hat. Durch die Kenntnis der aktuellen 
Konfiguration wird sichergestellt, daB das ubertragene Programm auf die tatsachlich an Bord vorhandenen Gerate 
zugeschnitten ist. 

- Ein Besitzer einer mobilen Vorrichtung kauft vom Hersteller der mobilen Vorrichtung cine zusatzlichc oder ver- 45 
besserte Funktionalitat, die ausschlieBlich durch zusatzliche Software-Module auf bereits eingebauten Ziel-Geraten 
realisiert wird. Durch das Verfahren wird es ermoglicht, daB die Software-Module ohne einen Werkstattbesuch 
ubertragen werden, wenn eine drahtlose Verbindung hergestellt werden kann. Sichergestellt wird, daB die Software- 
Module fur die mobile Vorrichtung freigegeben sind. 

- Ein Ziel-Gerat an Bord eines Fahrzeugs ist ausgefallen, und das Fahrzeug kann seine Fahrt nicht fortsetzen. Ein 50 
Wartungstechniker fahrt mit einem neuen Ziel-Gerat zum Fahrzeug. Das neue Gerat ist hinsichtlich der Hardware 
bauglcich oder wenigstens funktionsglcich zum ausgcfallcnen Gerat, jedoch sind kcinc Software- Module in ihm ab- 
gespeichert. Die benotigten Software-Module werden durch das erfindungsgemaBe Verfahren ubertragen. Dadurch 

ist es nicht erforderlich, daB der Wartungstechniker die Software-Module sowie eine Einrichtung zur Konfigurati- 
ons-Ermittlung und Freigabe-Prufung mit sich fiihrt. Da der Wartungstechniker fiir cine Flottc von untcrschicdli- 55 
chen Fahrzeugen mit verschiedenen Geraten an Bord verantwortlich ist, ist es wegen der Variantenvielfalt nicht 
moglich, daB er alle Software-Module mit sich fiihrt, die beim Ausfall eines Ziel-Gerats an Bord eines der Fahr- 
zeuge benotigt werden. Das erfindungsgemaBe Verfahren spart erheblich Zeit gegeniiber dem Vorgehen ein, daB der 
Wartungstechniker erst nach einem Ausfall eines Gerals ermittelt, welche Software-Module fiir das neue Gerat be- 
notigt werden, und diese Software-Module dann von einer Zentrale beschafft. 60 

10020] Dank der Ausgestaltung nach Anspruch 3 kann das erfindungsgemaBe Verfahren auch dann durchgefuhrt wer- 
den, wenn die aktuelle Konfiguration nicht komplett an die Zentrale ubermittelt werden kann und daher benotigte Infor- 
mationen fehlen, beispielsweise weil nicht alle Informationen iiber die aktuelle Konfiguration an Bord abgespeichert 
worden sind oder weil die Daten verbindung von der mobilen Vorrichtung zur Zentrale gestort ist. Hingcgcn haben die- 65 
jenigen Informationen iiber die aktuelle Konfiguration, die an die Zentrale iibermittell wurden und nicht unzutreflend 
sind, Vorrang vor den abgespeicherten Konfigurations-Informationen. 

[0021] GcmaB der Ausgestaltung nach Anspruch 3 werden Informationen iiber cine der Zentrale bckannten Konfigu- 
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ration der mobilen Vorrichtung in einem Konfigurations-Management-System oder Dokumentations-System abgespei- 
chert. Beispielsweise umfaBt das System eine Datenbank, in der ein Datensatz fur die mobile \forrichtung bei ihrer Fer- 
tigstellung angelegt wird. Wahrend der Obertragung wird eine Kennung der mobilen \forrichtung zur Zentrale iibermit- 
telt. Diese Kennung unterscheidet diese mobile Vorrichtung wenigstens von alien anderen mobilen Vorrichtungen des- 

5 selben Herstellers. Die an die Zentrale ubermittelten Informationen uber die aktuelle Konfiguration werden mit den ab- 
gespeicherten Informationen uber die Konfiguration verglichen. Nachdem die Kennung der mobilen Vorrichtung an die 
Zentrale ubermittelt wurdc, wird auf den Datensatz fur diese mobile Vorrichtung zugegriffen. Nicht ubermittelte Infor- 
mationen uber die aktuelle Konfiguration werden durch Lesezugriff auf die abgespeicherte Konfiguration erganzt. Auf 
die abgespeicherte Konfiguration wird insbesondere dann zugegriffen, wenn die aktuelle Konfiguration nur unvollstan- 

10 dig an die Zentrale ubermittelt wird und daher benotigte Informationen uber die aktuelle Konfiguration, beispielsweise 
der Typ eines tatsachlich zum Zeitpunkt der Obertragung eingebauten Tur-Steuergerates, fehlen. Bevorzugt werden die 
an die Zentrale ubermittelten Informationen uber die aktuelle Konfiguration einer Plausibilitatspriifung unterzogen, urn 
insbesondere Ubcrtragungsfehler zu erkennen. Werden hierbei cinzelne Informationen als offcnsichtlich unzutrcftend er- 
kannt, so werden die unzutreffenden der ubermittelten Informationen durch die entsprechenden abgespeicherten Infor- 

15 mationen ersetzt. 

[0022] Anspruch 4 sieht vor, daB vor der Ubertragung der Software-Module gepriift wird, ob mit Hilfe der drahtlosen 
Dateniibertragungseinrichtung ein Ubertragungskanal mit einer fur die Obertragung ausreichenden Giite aufgebaut wer- 
den kann. Insbesondere wird gepriift, ob uberhaupt eine Verbindung aufgebaut wird und ob diese Verbindung eine aus- 
reichende Bandbreite besitzt. Bevorzugt werden die Software-Module vor der Obertragung komprimiert und nach der 

20 Obertragung dekomprimiert, um Obcrtragungszeit einzusparen. 

[0023] Die Obertragung kann sowohl von der Zentrale als auch von einer Stelle auBerhalb der Zentrale, beispielsweise 
einem Eigentiimer, Fahrer oder Nutzer der mobilen Vorrichtung, angefordert werden, beispielsweise mit Hilfe eines 
Rechners im Internet. Die Stelle kann auch die mobile \brrichtung oder ein Ziel-Gerat scin, das automatisch die Ober- 
tragung anfordert. Bevorzugt wird vor der Obertragung eine Berechtigungsprufung fur die anfordemde Stelle durchge- 

25 fiihrt (Anspruch 5). Hierfur werden Informationen uber die Identitat der Stelle, welche die Obertragung der Software- 
Module anfordert, an die Zentrale ubermittelt. Beispielsweise werden von einer anfordernden Person eine PIN, ein PaB- 
wort oder ein Fingerabdruck ermittelt und mit abgespeicherten Informationen verglichen. Nur bei erfolgreicher Berech- 
tigungsprufung werden Software-Module ubertragen. Durch die Berechtigungsprufung wird insbesondere vermieden, 
daB ein Nutzer sich in den Besitz eines kostenpflichtigen Software-Moduls bringt, ohne dafur bczahlt zu haben, und daB 

30 die Obertragung aufgrund eines Fehlers ausgelost wird. 

[0024] Um zu verhindem, daB ein Software-Modul beispielsweise bei der Abspeicherung auf der mobilen Speicher- 
Einrichtung oder der Obertragung verfalscht oder manipuliert oder eine unberechtigt angefertigte Kopie verwendet 
wurde, wird eine Korrektheitspriifung durchgefuhrt (Anspruch 6). Hierzu wird flir mindestens ein Software-Modul eine 
Signatur erzeugt und auf der mobilen Speicher-Einrichtung abgespeichert. Die Signatur wird vorzugsweise dadurch er- 

35 zeugt, daB das Software-Modul als Datenstrom behandelt wird und ein Hash-Wert erzeugt wird. Mit Hilfe eines gehei- 
men Schliissels wird aus diesem Hash-Wert die Signatur erzeugt. Die Signatur hangt also vom Software-Modul und vom 
geheimen Schlussel ab. 

[0025] Weiterhin wird an Bord der mobilen Vorrichtung fur mindestens einen Ziel-Gerate-Typ ein offentlicher Schliis- 
sel abgespeichert. Mit Hilfe dieses offentlichen Schliissels wird die Signatur gepriift. Nur bei positi vcm Ausgang der Prii- 

40 fung wird das Software-Modul als nicht verfalscht und als berechtigt erkannt. 

[0026] Die Menge von Software-Modulen wird beispielsweise wie folgt ausgewShlt (Anspruch 7): Die an die Zentrale 
ubermittelte aktuelle Konfiguration der mobilen Vorrichtung wird mit einer Wunsch- oder Soll-Konfiguration vergli- 
chen. Eine Wunsch-Konfiguration wird beispielsweise dadurch erzeugt, daB ein Eigentiimer der mobilen Vorrichtung zu- 
satzliche Funktionalitaten erwirbt, eine Soll-Konfiguration dadurch, daB der Hersteller der mobilen \brrichtung vorsieht, 

45 daB alle mobilen Vorrichtungen einer Baurcihe mit einem bestimmten Software-Modul vcrsorgt werden. Die Software- 
Module werden in Abhangigkeit von der Abweichung zwischen aktueller und Wunsch- bzw. Soll-Konfiguration ausge- 
wahlt. Beispielsweise werden alle Software-Module ausgewahlt, die in der Wunsch- bzw. Soll-Konfiguration auftreten, 
aber in der aktuellen Konfiguration gar nicht oder nur in einer alteren Version. 

[0027] Bevorzugt werden die Software-Module nach der Obertragung zunachst in einem Puflerspeicher an Bord der 

50 mobilen Vorrichtung abgespeichert. Sie werden dann an die jeweiligen Ziel-Gerate verteilt und zu diesen iibertragen. Ge- 
mafi Anspruch 8 werden daher gemeinsam mit den Software-Modulen Meta-Informationen ubertragen, die die \fertei- 
lung und/oder Obertragung und/oder Aktivierung der Software-Module an Bord der mobilen Vorrichtung stcucrn. 
[0028] Die ubertragenen Software-Module werden bevorzugt nur dann aktiviert, wenn die mobile Vorrichtung sich in 
einem sicheren Zustand befindet. Ansonsten besteht die Gefahr, daB wahrend der Aktivierung eines Software-Moduls 

55 oder der dafur crforderlichcn Deaktivicrung eines zuvor vorhandenen Software-Moduls die mobile \fcrrichtung in einen 
unerwunschten Betriebszusland gerat. Beispielsweise ist sicherzustellen, daB Software-Module fur Steuergerate an Bord 
eines Kraftfahrzeuges nur bei stehendem Fahrzeug aktiviert werden. Anspruch 9 sieht vor, daB zusatzlich Informationen 
iiber den aktuellen Betriebszustand der mobilen Vorrichtung an die Zentrale ubermittelt werden. In Abhangigkeit von 
den Betriebszuslands-Infoniiationen wird entschieden, ob die mobile Vorrichtung sich in einem sicheren Zustand befin- 

60 det. Dann, wenn sie sich in einem sicheren Zustand befindet, werden die ubertragenen Software-Module aktiviert. 

[0029] Die drahtlose Datenverbindung zwischen Zentrale und mobilcr Vorrichtung kann gestort scin, weswegen die 
Obertragung der Software-Module nicht fehlerfrei abgeschlossen werden kann. Oft ist der Hersteller von mobilen Vor- 
richtungen gesetzlich verpflichtet, zu dokumentieren, welche Software-Module sich an Bord der von ihm hergestellten 
mobilen Vorrichtungen befinden. Beispielsweise aus diesen beiden Grunden wird nach der Obertragung mindestens ei- 

65 nes der Software-Module die Information an die Zentrale ubermittelt, ob das Software-Modul tatsachlich fehlerfrei an 
die mobile Vorrichtung ubermittelt wurde (Anspruch 10). Bevorzugt wird nach jeder Obertragung eines Software-Mo- 
duls eine Information iiber das Ergebnis der Obertragung an die Zentrale ubermittelt. Falls bei der Obertragung Fehler 
auftratcn, wird bevorzugt zusatzlich cine Fchlerbeschreibung an die Zentrale ubermittelt. 


4 


DE 101 31 395 A 1 


[0030] Durch die erfolgreiche Obertragung von Software-Modulen wird die aktuelle Konfiguration der mobilen Vbr- 
richtung verandert. Insbesondere urn gesetzlichen Auflagen nach einer Produktdokumentation nachzukommen, wird ge- 
maB Anspruch 11 eine Riickdokumentation durchgefuhrt. Hierfur wird die Kennung der mobilen Vorrichtung zur Zen- 
trale ubermittelt. Diese Kennung unterscheidet diese mobile Vorrichtung wenigstens von alien anderen mobilen Vorrich- 
tungen desselben Herstellers. In einem Konfigurations-Management-System wird die Information abgespeichert, welche 5 
Ziel-Gerate-Typen und welche Software-Module nach AbschluB der Ubertragung an Bord der mobilen Vorrichtung tat- 
sachlich vorhanden sind. Informationen uber die Zicl-Gerate-iypen wurden crfindungsgcmaB bcreits fur die Freigabe- 
Prufungen an die Zentrale ubermittelt. 

[0031] Die Information, welche Software-Module fehlerfrei und unverfalscht iibertragen wurden, wird auch fur eine 
Synchronisation nach einem Fchlerfall, z. B. nach einem Vcrbindungsabbruch, verwendet. Ermittelt wird, welche Soft- 10 
ware-Module bei einem zweiten Versuch fur die Ubertragung vorgesehen werden. 

[0032] Eine Obertragungs- Vorrichtung zurDurchfuhrung eines Verfahrens nach einem der Anspriiche 1 bis 11 umfaBt 
gcmaB Anspruch 12 eine Einrichtung zur drahtlosen Datcnubcrtragung zwischen Zentrale und mobilcr Vbrrichtung in 
beiden Richtungen und eine Steuerungs-Einrichtung, welche die Obermittlung von Software-Modulen von der Zentrale 
zur mobilen Vorrichtung veranlaBt und steuert. Die Steuerungs-Einrichtung ermittelt die aktuelle Konfiguration der mo- 15 
bilen Vorrichtung, wahlt die Menge von Software-Modulen aus, und priift, welche der ausgewahlten Software-Module 
fur die aktuelle Konfiguration freigegeben sind. Weiterhin veranlaBt die Steuerungs-Einrichtung die Obertragung der 
ausgewahlten und freigegebenen Software-Module und ermittelt, welche Software-Module fehlerfrei an die mobile Vbr- 
richtung iibertragen wurden. 

[0033] Bevorzugt reagiert die Steuerungs-Einrichtung auf crkannte Obcrtragungsfchler, Bcispielswcisc veranlaBt sic 20 
einen zweiten Ubertragungs- Versuch, fiihrt eine Fehlerbehandlung durch oder bricht die Obertragung der Software-Mo- 
dule ab. 

[0034] Im folgenden wird ein Ausfuhrungsbcispiel des erfindungsgemaBen Verfahrens anhand der beilicgcnden Zeich- 
nungen naher beschrieben. Dabei zeigen 

[0035] Fig. 1 eine beispielhafte Ausfuhrungsform der Erfindung, bei der die Software-Module von einer Zentrale mit 25 
Hilfe zweier verschiedener drahdoser Datenubertragungseinrichtungen zur mobilen Vbrrichtung iibertragen werden; 
[0036] Fig. 2 eine beispielhafte Systemarchitektur fiir Zentrale und mobile Vorrichtung. 

[0037] Im Beispiel der Fig. 1 wird wenigstens zeitweise eine Datenverbindung zwischen der Zentrale 10 und dem er- 
stcn Fahrzeug 20.1 und eine wciterc Datenverbindung zwischen der Zentrale 10 und dem zweiten Fahrzcug 20.2 hcrgc- 
stellt. Die drahdosen Datenverbindungen konnen auf die gleiche oder auf unterschiedliche Weisen hergestellt werden. 30 
Als zwei Beispiele sind in Fig. 1 die drahtlose "Obertragung mit Hilfe eines Satelliten 50.1 und die uber ein Mobilfunk- 
netz 50.2 dargestellt. Die Software-Module werden z. B. uber ein Weitverkehrsnetz oder ein lokales Netz iibertragen. Die 
Zentrale kann sich an einem einzigen Ort befinden oder raumlich verteilt sein. Insbesondere falls ein Fahrzeug 20.1 oder 
20.2 sich wahrend der Obertragung bewegt, kann die ubertragende Zentrale sogar wahrend der Obertragung wechseln. 
[0038] Bei der Obertragung von Software-Modulen werden fur jedes der beiden Fahrzeuge 20.1 und 20.2 die folgen- 35 
den Verfahrensschritte ausgefuhrt: 

- Insbesondere dann, wenn der Fahrzeug-Hersteller die Software- Module nur dann ubermittelt, wenn der Eigentu- 
mer der Obertragung der Software-Module zugestimmt hat und/oder die Software-Module bczahlt hat, wird eine 
Berechtigungsprufung fiir die anfordemde S telle durchgefuhrt. Hierfur wird beispielsweise ein Fingerabdruck einer 40 
anfordemden Person ermittelt oder eine PIN oder ein PaBwort von einer anfordernden Stelle erfaBt und anschlie- 
Bend Fingerabdruck, PIN oder PaBwort an die Zentrale ubermittelt und bei einer Berechtigungsprufung ausgewer- 

tet. Nach erfolgreicher Berechtigungsprufung wird festgeslellt, ob der Eigenliimer der Obertragung verbindlich zu- 
gestimmt hat. Die folgenden Schritte werden nur dann durchgefuhrt, wenn eine Zustimmung vorliegt oder nicht er- 
forderlich ist. 45 

- Eine eindeutige Kennung des Fahrzeugs, vorzugsweise eine Fahrzeug-Ident-Nummer, wird ermittelt und an die 
Zentrale ubermittelt. Diese Kennung unterscheidet das Fahrzeug von alien anderen Fahrzeu§en dieses Herstellers. 
Zusatzlich werden die Baureihe, das Baumuster und das Baujahr und das Jahr der letzten Anderung ubermittelt. 
Diese Informationen lassen sich zwar oft durch Lesezugriff auf ein zentrales Konfigurations-Management-System 
ennitteln. Werden sie aber vom Fahrzeug zur Zentrale ubermittelt, so wird ein oft zeitraubender Lesezugriff einge- 50 
spart. 

- Die aktuelle Konfiguration des Fahrzeugs wird ermittelt und an die Zentrale ubermittelt. Hicrbci wird ermittelt, 
welche Ziel-Gerate vor Beginn der Obertragung an Bord des Fahrzeugs tatsachlich eingebaut sind und welche Soft- 
ware-Module vor Beginn der Obertragung an Bord des Fahrzeugs tatsachlich aktiviert und/oder abgespeichert sind. 
Vorzugsweise werden TVp-Kennungen fiir die aktuell cingebauten Gcratc und bcreits vorhandenen Software-Mo- 55 
dule, z. B. Sachnummern und Variantennummern, ubermittelt. Diese Ermittlung wird bevorzugt dadurch ausge- 
fuhrt, daB in jedem Ziel-Gerat ein Speicher vorhanden ist, in dem die Konfigurations-Informationen Uber dieses 
Ziel-Gerat abgespeichert sind und der z. B. uber einen Datenbus angesprochen und ausgelesen wird. Alternative 
Ausfuhrungsformen bestehen daraus, einen zentralen Speicher an Bord des Fahrzeugs oder Speicherchips, die an 
den Ziel-Geraten angebracht sind, auszulesen. Insbesondere dann, wenn ein Speicher in einem Ziel-Gerat aufgrund 60 
eines Defekts nicht ausgelesen werden kann oder wenn der Speicher eines ncuen Zicl-Gcrats noch nicht gcfullt ist, 
besteht ein Notbehelf darin, Markierungen an Geraten, z. B. Strichcodes, optisch zu erfassen. 

- Bei Bedarf werden die Informationen uber die aktuelle Konfiguration mit einem Datensatz uber die Konfigura- 
tion des Fahrzeugs verglichen, der in einem Konfigurations-Management-System abgespeichert ist. Dies wird bei- 
spielsweise dann durchgefuhrt, wenn die ubermitteltcn Informationen uber die aktuelle Konfiguration luckenhaft 65 
oder erkennbar fehlerhaft sind. Zur Erkennung von derartigen Fehlern wird bevorzugt eine Plausibih' tatspriifung der 
vom Fahrzeug iibermittelten und der abgespeicherten Informationen uber die Konfiguration durchgefuhrt. 

- Ausgc wahlt wird cine Menge von Software-Modulen, die von der Zentrale zum Fahrzeug iibertragen werden. 
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Die Auswahl hangt von der aktuellen Konfiguration des Fahrzeugs, vom Anwendungsfall und von der Kundenan- 
forderung ab. 

- Nurdiejenigen Software-Module werden iibertragen, die fur die aktuelle Konfiguration des Fahrzeugs freigege- 
ben sind. Fiir jedes Software-Modul wird eine Freigabe-Prufung durchgefiihrt, indem Freigabe-Informationen aus- 

5 gewertet werden. Vorzugsweise bestehen diese Freigabe-Informationen aus TVp-Kennungen fiir Ziel-Gerate und 
Software-Module. Eine Ausfuhrungsform wird weiter unten beschrieben. Mbgliche Ergebnisse der Freigabe-Prii- 
fiing sind, daB alle, einigc oder gar kcines der ausgewahlten Software-Module als freigegebcn erkannt werden. 

- tJberpriift wird, ob die ausgewahlten Software-Module jetzt iibertragen werden kbnnen. Hierbei wird festgestellt, 
ob mit Hilfe der drahtlosen Dateniibertragungseinrichtung iiberhaupt eine Verbindung zwischen Zentrale und Fahr- 

10 zeug vorhanden ist oder aufgebaut werden kann und ob der Ubertragungskanal eine fiir die Ubertragung ausrei- 

chende Giite, insbesondere eine ausreichende Bandbreite besitzt. Diese Giite kann von dem sende- und Empfangs- 
gerat 190 an Bord des Fahrzeugs abhangen. Beispielsweise wird eine untere Schranke fur die Bandbreite oder eine 
obcre Schranke fiir den Zcitraum, den die Ubertragung in Anspruch nimmt, vorgegeben und mit der tatsachlich vcr- 
fugbaren Bandbreite verglichen. Aus der tatsachlich verfugbaren Bandbreite und der GesamtgroBe der ausgewahl- 

15 ten Software-Module wird bei Bedarf ein Wert fUr den Zeitbedarf der Obertragung vorhergesagt. 

- Die ausgewahlten und fiir die aktuelle Konfiguration freigegebenen Software-Module werden komprimiert, so 
daB die komprimierten Software-Module weniger Speicherplatz als die nicht koinprimierten einnehraen. Bekannt 
sind verschiedene Verfahren zum Komprimieren von Daten. 

- Die ausgewahlten und fiir die aktuelle Konfiguration freigegebenen Software-Module werden fUr die Obertra- 
20 gung kon vertiert. Bei Bedarf werden die Software- Module in Tcile aufgcteilt. Gemcinsam mit jedem Software-Mo- 
dul oder Software-Modul-Teil werden Meta-Informationen iibertragen, die die Verteilung und tlbertragung der 
Software-Module an Bord sowie deren Aktivierung steuem. Zu diesen Meta-Informationen zahlen Parameter, die 
das verwendetc On-Board-Ubertragungsprotokoll benotigt. 

- Die ausgewahlten und fiir die aktuelle Konfiguration freigegebenen Software-Module werden von der Zentrale 
25 zum Fahrzeug iibertragen. Als Ubertragungstechnik wird beispielsweise ein Mobil funk-Standard, z. B. GSM oder 

UMTS, eingesetzt. Vorzugsweise wird ein zur gewahlten Obertragungstechnik passendes Protokoll, z. B. das datei- 
basierte Protokoll zModem, verwendet. Dadurch wird insbesondere nach einem Abbruch der \%rbindung eine si- 
chere Fehlerbehandlung mit Synchronisation erleichtert, die weiter unten beschrieben wird. 

- Vorzugsweise werden die iibertragenen Software-Module an Bord des Fahrzeugs in einem Puffcrspeichcr abgc- 
30 speichert 

- Festgestellt wird, welche Software-Module fehlerfrei iibertragen wurden. Diese Information wird an die Zentrale 
ubermittelt. Beispielsweise wird nach jeder erfolgreichen tJbertragung eines Software-Modul s eine Riickmeldung 
an die Zentrale ubermittelt, oder nach erfolgreicher Ubertragung aller Software-Module wird diese Information an 
die Zentrale ubermittelt. Fiir die Feststellung wird vorzugsweise fiir jedes Software-Modul oder jedes Software-Mo- 

35 dul-Teil eine Soll-Priifsumme nach dem CRC- Verfahren ermittelt und iibertragen. Nach der Ubertragung wird an 
Bord der mobilen Vorrichtung eine Ist-Prufsumme ermittelt und mit der Soll-Priifsumme verglichen. 

- Vorzugsweise werden Verschliisselungs-Informationen gemeinsam mit den Software-Modulen iibertragen, um 
zu priifen, ob die Software-Module aus einer vertrauenswiirdigen Quelle stammen und unverfalscht Qbertragen wur- 
den. Beispielsweise wird ein Software-Modul in der Zentrale verschliissclt und an Bord der mobilen Vorrichtung 

40 wieder entschliisselt. Ein Verfahren hierfur ist aus DE 195 32 067 CI bekannt. Oder ein Software-Modul wird un- 
verschliisselt, aber gemeinsam mit einer Signatur iibertragen. Die Signatur wird mit Hilfe eines geheimen Schliis- 
sels in der Zentrale erzeugt und mit einem offentlichen Schliissel verglichen, der beispielsweise zuvor auf einem an- 
deren Kanal zur mobilen Vorrichtung iibermittelt wurde. 

- Falls festgestellt wurde, daB ein Software-Modul nur fehlerhaft, verfalscht oder gar nicht Qbertragen wurde, so 
45 wird ein zweitcr Versuch der Ubertragung durchgefiihrt. Falls zwischen crstcm und zweitcn Vcrsuch cine groBcre 

Zeitspanne verstrichen ist, wird erneut die aktuelle Konfiguration des Fahrzeugs ermittelt, denn diese kann in der 
Zwischenzeit verandert worden sein. Scheitert auch der zweite Versuch, so wird die unten beschriebene Fehlerbe- 
handlung durchgefiihrt. 

- Daten iiber den aktuellen Betriebszustand des Fahrzeugs werden erfaBt und an die Zentrale ubermittelt. Diese Da- 
50 ten umfassen beispielsweise die aktuelle Fahrgeschwindigkeit, den Motorzustand, den Ladezustand der Batterie 

und die aktuelle Position des Fahrzeugs. Aufgrund des Betriebszustands wird entschieden, ob die iibertragenen 
Software-Module jetzt aktiviert werden. Dabci wird insbesondere gepriift, ob das Fahrzeug sich in einem sicheren 
Zustand befindet. Beispielsweise wird der Ladezustand der Batterie beriicksichtigt, um sicherzustellen, daB wah- 
rend der gesamten Aktivierung geniigend elektrische Spannung zur Verfugung steht. Die aktuelle Position wird bei- 

55 spielweise ausgewertet, um zu priifen, in welchem Land oder z. B. US-Bundcsstaat sich das Fahrzeug befindet, um 

bei Bedarf zu priifen, ob landerspezifische gesetzliche oder technische Randbedingungen zu beachten sind. Bei Be- 
darf wird der Fahrer des Fahrzeugs gebeten, das Fahrzeug in einen sicheren Zustand zu bringen, z. B. es anzuhalten, 
und dies zu bestatigen. Dies wird z. B. durch Sprachausgabe und -eingabe oder dadurch durchgefiihrt, daB Meldun- 
gen angezeigt werden und der Fahrer gebeten wird, diese zu bestatigen. 

60 - Falls alle Software-Module fehlerfrei und unverfalscht iibertragen wurden oder der Pufferspeicher vollstandig 
gcfullt ist und falls das Fahrzeug sich in einem sicheren Zustand befindet, werden die iibertragenen Software-Mo- 
dule aus dem Pufferspeicher in die Ziel-Gerate iibertragen, vorzugsweise iiber einen Datenbus an Bord des Fahr- 
zeugs. Bei Bedarf werden sie zuvor dekomprimiert. Fiir diesen \forgang werden die Meta-Informationen ausge- 
wahlt. Nach der Ubertragung zu den Geraten werden die Gerate bei Bedarf deaktiviert, die Soft ware- Module akti- 

65 vicrt und danach die Gerate wieder aktiviert. 

- In der Zentrale, z. B. in einem Konfigurations-Managernent- System, wird die aktuelle Konfiguration der mobilen 
Vorrichtung nach der Obertragung abgespeichert. Die aktuelle Konfiguration umfaBt die Informationen, welche der 
Ziel-Gerate an Bord tatsachlich cingebaut sind und welche Software-Module entweder fehlerfrei iibertragen und ak- 
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tiviert wurden oder bereits vor der Ubertragung aktiviert und durch die Ubertragung nicht verandert wurden. 

- Ein Konfigurations-Management-System in der Zentrale umfafit einen Datensatz fur das Fahrzeug. Dieser Daten- 
satz wird nach der Ubertragung aktualisiert, so daB er nach der Aktualisierung Informationen daruber enthalt, wel- 
che der Ziel-Gerate an Bord tatsachlich eingebaut sind und welche Software-Module nunmehr aktiviert sind. 

- Eine Fehlerbehandlung ist insbesondere dann erforderlich, wenn eine vorgegebene Anzahl von Versuchen Versu- 5 
che scheitern, alle Software-Module fehlerfrei zu ubertragen, beispielsweise weil keine Verbindung zwischen Zen- 
trale und Fahrzeug hergestellt werden kann. Bevorzugt wird bei eincr Fehlerbehandlung cine Synchronisation 
durchgefuhrt. Hierbei wird festgestellt, welche Software-Module fehlerfrei ubertragen wurden. Der Datensatz fiir 
das Fahrzeug im zentralen Konfigurations-Management-System wird aktualisiert, und ein Fehlerprotokoll wird ge- 
neriert. Zu einem spateren Zcitpunkt wird ein erneuter Ubertragungsversuch begonnen, der von cincm definicrten 10 
Zustand ausgeht. 

[0039] Fig. 2 zcigt cine beispielhafte Systcmarchitcktur fur die Zentrale 10 und das Fahrzeug 20. Die Zentrale 10 urn- 
faBt die folgenden Komponenten: 

15 

- ein Central Remote Flashing Manager 160, der die Obermittlung von Software-Modulen von der Zentrale zur 
mobilen Vorrichtung veranlaBt und steuert und dabei Software-Module auswahlt und pruft, ob sie fur die aktuelle 
Konfiguration freigegeben sind, 

- ein Steuerungs- und Regelungs-Werkzeug 110, mit dem die erforderlichen MaBnahmen zum "Obertragen von 
Software-Modulen erfaBt und aufgelistet und veranlaBt werden und durch das die Durchfuhrung der MaBnahmen 20 
iiberwacht wird, 

- ein Logistiksystem 130, das die benotigten Software-Module identifiziert, auswahlt und fiir die Obertragung be- 
reitstellt, 

- ein Abrechnungs-System 140, das die Ubertragungsvorgange kaufmannisch abwickelt und dabei insbesondere 

die Rechnungslegung durchfuhrt und die Zahlungsvorgange iiberwacht, 25 

- ein Informationssystem 150, das den Eigentumer und/oder Fahrer des Fahrzeugs vor der Ubertragung uber ange- 
botene und durch Software-Module realisierbare funktionale Erweiterungen und Anderungen durch Software-Mo- 
dule und nach der tJbertragung uber die erfolgreiche tJbertragung oder uber aufgetretene Fehler informiert und das 
beispielsweise das Internet vcrwendet oder die Versendung von Briefen auslast, 

- ein Entscheidungsunterstiitzungs-System 170, mit dessen Hilfe Software-Module in Abhangigkeit von der aktu- 30 
ellen Fahrzeug- Konfiguration und der durchzufuhrenden Kundendienst-MaBnahme ausgewahlt werden, 

- eine Sende- und Empfangseinrichtung 180 in der Zentrale und 

- eine Sende- und Empfangseinrichtung 190, die mit dem Fahrzeug verbunden ist. 

[0040] Die Sende- und Empfangseinrichtungen 180 und 190 sind beispielsweise als Knoten eines Mobil funknetzes, 35 
das z. B. mit den Ubertragungsverfahren GSM oder UMTS arbeiten, oder fiir cine Ubertragung mittcls Sateilitcn ausge- 
bildet. An Bord eines Fahrzeugs konnen mehrere Sende- und Empfangseinrichtungen 190 eingebaut sein. 
[0041] Im folgenden wind an einem Ausfuhrungsbeispiel beschrieben, wie die Freigabe-Prufung durchgefuhrt wird 
und welche Freigabe-Informationen hierfur ausgewertet werden. In dem Ausfuhrungsbeispiel werden zwei Ziel-Gerate 
an Bord eines Kraftfahrzeugs 20 mit Software-Modulen versorgt: eine Zentraleinheit eines Systems zur Sprachausgabe, 40 
die z. B. Meldungen an den Fahrer in natiirlicher Sprache vorliest, und ein Steuergerat fiir das Tursystem. Die Zentral- 
einheit ist mit einem Sende- und Empfangsgerat fur drahtlose Dateniibertragung und uber einen Datenbus mit dem Steu- 
ergerat verbunden. 

[0042] Die beiden Ziel-Gerate stammen von unterschiedlichen Herstellern und werden in verschiedenen Varianten in 
Fahrzeuge eingebaut. Die Sprachausgabe soli in mehreren Sprachen moglich sein. Die Software-Module fiir alle Varian- 45 
ten der beiden Ziel-Gerate werden erzeugt und in der Zentrale abgespeichert. 

[0043] Der Typ eines Ziel-Gerats und der eines Software-Moduls werden durch jeweils eine Sachnummer und eine Va- 
riantennummer gekennzeichnet. Die Sachnummer ist eine Abfolge von Ziffem und Buchstaben, die innerhalb des Pro- 
duktspektrums des Fahrzeug-Herstellers eindeutig ist. Die Variante wird durch eine Zahl mit drei Ziflern gekennzeich- 
net. 50 
[0044] Die Freigabe-Informationen sind beispielsweise in einer relationalen Datenbank in Form von Datensatzen in 
der Zentrale abgespeichert. Fiir eine Freigabe-Prufung wird dicsc Datenbank cingclcscn und ausgewertet. Ein Prinzip ist, 
daB ein Software-Modul nur dann fiir einen Typ von Ziel-Geraten freigegeben ist, wenn eine entsprechende Freigabe- In- 
formation in der Freigabe-Datenbank vermerkt ist, ansonsten nicht. 

[0045] Jcdcr Freigabc-Datensatz umfaBt folgende Datcnfelder: 55 

- Baureihe 

- Region 

- Ziel-Gerate-Typen 

- Zulieferer 60 

- Beschrcibung_Hardwarc 

- Art_der_Software 

- Software-Module 

- Beschreibung_Software 

- giiltig_ab 65 

- Voraussetzung 

[0046] Mit "Baureihe" ist die Baureihe des Fahrzeugs gemcint, auf das sich der Freigabc-Datensatz bczicht, z.B. 
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W212. In den Datenfeldern "Ziel-Gerate-Typ" und "Software-Module" werden Gerate- bzw. Software-iyp-Kennungen 
aufgefuhrt, was im folgenden beispielhaft erlautert wird. Der in dem Datenfeld "gultig_ab" eingetragene Zeitpunkt legt 
fur den Datensatz den Beginn des Freigabe-Zeitraums fest. Die im Datensatz genannten Software-Module sind nur dann 
fur die genannten Ziel-Gerate-'iypen freigegeben, wenn der Zeitpunkt der Ubertragung nach dem durch das Datenfeld 
5 "gultig_ab" festgelegten Zeitpunkt liegt. Die Freigabe kann an eine Freigabe-Bedingung gebunden sein, die vorzugs- 
weise als Boole' scher Ausdruck formuliert, wird. Die Inhalte der Datenfelder "Beschreibung_Hardware" und "Beschrei- 
bung_Software" werden nicht automatisch ausgewertet. Sic crlautern viclmehr cinem mcnschlichen Bcarbciter die iyp- 
Kennungen. 

[0047] In dem folgenden Bei spiel stammt die Software fur die Zentraleinheit vom Zulieferer XY, die fiir das Tiir-Steu- 
10 crgerat von den Zuliefcrern AB (fur den curopaischen Markt) und FG (fur den US-amerikanischcn Markt). 'IVpcn von 
Ziel-Geraten und Software-Module werden durch Sachnummern gekennzeichnet, die mit HW bzw. SW beginnen, ge- 
folgt von drei oder vier Ziffern. Varianten sind durch drei Ziffern gekennzeichnet. SW-21 2-001 bezeichnet z. B. ein Soft- 
ware-Modul mit der Sachnummcr SW-212 und der Variantcnnummer 001 . Typ-Kennungcn, zusammcngcsctzt aus Sach- 
nummern und Variantennummern, sind in eckige Klammern gesetzt. 

15 

1. Datensatz 


Datenfeld 

Inhalt 

Baureihe 

W212 

Region 

EUR 

Ziel-Gerate-Typen 

[HW-1001-001] [HW-1001-002] 

Zulieferer 

XY 

Beschreibung Hardware 

Zentraleinheit fur Europa 

Art der Software 

OS 

Software-Module 

[SW-101-001] 

Beschreibung Software 

Betriebssystem fur Zentraleinheit, VI 

giiltig ab 

1.1.1999 

Freigabe-Bedingung 



[0048] Das Software-Modul [SW-101-001] ist durch den 1. Datensatz fur die Ziel-Gerate-Typen [HW- 100 1-001] und 
45 [HW-1001-002] in Europa freigegeben. 


8 


DE 101 31 395 A 1 


2. DaLensatz 


Datenfeld 

Inhalt 

Baureihe 

W212 

Region 

EUR 

Ziel-Gerate-Typen 

[HW-1001-001] [HW-1001-002] 

Zulieferer 

XY 

Beschreibung Hardware 

Zentraleinheit fur Europa 

Art der Software 

APPL 

Software-Module 

[SW-111-001] 

Beschreibung Software 

Anwendung fttr Zentraleinheit, VI 

gultig ab 

1.3.1999 

Freigabe-Bedingung 


[0049] Das Software-Modul [SW-111-001] ist durch den 2. Datcnsatz fUr die Ziel-Gerate-Typen [HW-1001-001] und 
[HW- 1001-002] in Europa freigegeben. 


3. Datensatz 

Datenfeld 

Inhalt 

Baureihe 

W212 

Region 

USA 

Ziel-Gerate-Typen 

[HW-1002-001] [HW-1002-002] 

Zulieferer 

XY 

Beschreibung Hardware 

Zentraleinheit fur USA 

Art der Software 

OS 

Software-Module 

[SW-102-001] 

Beschreibung Software 

Betriebssystem fur Zentraleinheit, VI 

gultig ab 

1.4.1999 

Freigabe-Bedingung 



[0050] Das Software-Modul [SW-102-001] ist durch den 3. Datensatz fur die Ziel-Gerate-Typen [HW-1002-001] und 60 
[HW-1002-002] in den USA freigegeben. 


65 


9 


DE 101 31 395 A 1 


4. Datensatz 


Da ten f eld 

Inhalt 

Baureihe 

W212 

Region 

USA 

Ziel-Gerate-Typen 

[HW-1002-001] [HW-1002-002] 

Zulieferer 

XY 

Beschreibung Hardware 

Zentraleinheit fur USA 

Art der Software 

APPL 


Software-Module 

[SW-112-001] 

Beschreibung Software 

Anwendung fiir Zentraleinheit, VI 

giiltig ab 

1.4.1999 

Freigabe-Bedingung 

[HW-1102-00n] AND ( [HW-2102-001] OR 
[HW-2102-002] ) AND NOT [HW-2302-00n] 


[0051] Das Software-Modul [SW-112-001] istdurch den 4. Datensatz fur die Ziel-Gerate-Typen [HW-1002-001] und 
[HW-1002-002] in den USA freigegeben, falls die Freigabe-Bedingung erfullt ist. Die Freigabe-Bedingung ist erfullt, 
wenn 


- ein Ziel-Gerat vorn Typ HW-1102 und einer der Varianten 001 bis 009 

- und ein Ziel-Gerat vom Typ HW-2102 und der Variante 001 oder 002 

- und kein Ziel-Gerat vorn T^p HW-2302, das von einer der Varianten 001 bis 009 ist, 

eingebaut ist. Hierbei ist OOn eine abkurzende Bezeichnung fiir die Varianten 001 bis 009. 
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5. Datensatz 


Datenfeld 

Inhalt 

Baureihe 

W212 

Region 

EUR 

Ziel-Gerate-Typen 

[HW-2001-001] [HW-2001-002] 

Zulieferer 

AB 

Beschreibung Hardware 

Tur-Steuergerat ftir Europa 

Art der Software 

TOOL 

Software-Module 

[SW-221-001] 

Beschreibung Software 

Diagnose fur Tur-Steuergerat, VI 

giiltig ab 

1.5.1999 

Freigabe-Bedingung 

[HW-2002-001] OR [HW-2302-00n] 


[0052] Das Software-Modul [SW-221-001] ist durch den 5. Datensatz fur die Ziel-Gerate-Typen IHW-2001-001] und 
[HW-2001-002] in Europa freigegeben, falls die Freigabe-Bedingung erfullt ist. Die Freigabe-Bedingung ist erfiillt, 
wenn an Bord 

- ein Ziel-Gerat vom Typ [HW-2002-001] 

- oder ein Ziel-Gerat vom Typ HW-2302, das von einer der Varianten 001 bis 009 ist, 
eingebaut ist. 


6. Datensatz 


Datenfeld 

Inhalt 

Baureihe 

W212 

Region 

USA 

Ziel-Gerate-Typen 

[HW-2002-001] [HW-2002-002] 

Zulieferer 

FG 

Beschreibung Hardware 

Tur-Steuergerat fur USA 

Art der Software 

TOOL 

Software-Module 

[SW-222-001] 

Beschreibung Software 

Diagnose fur Tur-Steuergerat, VI 

giiltig ab 

1.6.1999 

Freigabe-Bedingung 

[SW-221-001] 


[0053] Das Software-Modul [SW-1 11-001] ist durch den 6. Datensatz fur die Ziel-Gerate-Typen [HW- 1001-001] und 
[HW-1001-002] in den USA freigegeben, falls an Bord das Software-Modul [SW-221-001] aktivicrt ist. 
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[0054] Bei der Auswertung der Freigabe-Datei wird fur jedes Ziel-Gerat, das im Fahrzeug vorkommt, die Freigabe-Da- 
tenbank durchsucht. Fiir jeden Datensatz wird das Datenfeld "Baureihe"' abgeglichen und das Datenfeld "Ziel-Gerate- 
Typen" ausgewertet. 1st an Bord ein Ziel-Gerat eines er im Datenfeld "Ziel-Gerate-TVpen" genannten TVpen eingebaut, 
so wird festgestellt, ob eine Freigabe-Bedingung forniuliert ist. 1st dies der Fall, so wird gepriift, ob die Freigabe-Bedin- 
5 gung auf Erfulltsein gepriift. Ist die Freigabe-Bedingung erfullt oder ist keine Freigabe-Bedingung formuliert, so sind 
alle Software-Module fur das Fahrzeug freigegeben, die im Datenfeld "Software-Module" des Datensatzes genannt sind. 
Welche der frcigegebenen Software-Module tatsachlich tibcrtragcn wcrdcn, hangt davon ab, welche Software-Module 
ausgewahlt worden sind. 

[0055] Fiir jedes Software-Modul werden weiterhin Konfigurations- und SicherheiLs-Informationen beispielsweise in 
to zwei Datenbanken fiir Software-Module und zwei fiir Softwarc-Modul-Tcile crzeugt, in der Zentralc abgespcichcrt und 
bei der t)bertragung ausgewertet. Die eine Datenbank ist die Konfigurations-Datenbank, die andere die Sicherheits-Da- 
tenbank. 

[0056] Die Informationen in der Konfigurations-Datenbank legen fcst, welche Dateicn zum Software-Modul gchSrcn, 
wo diese Dateien abgespeichert sind und in welcher Reihenfolge sie wohin, d. h. zu welchem Ziel-Gerat, ubertragen wer- 
15 den. Mit Hilfe der Sicherheits-Informationen werden ttbertragungsfehler und Manipulationen erkannt. 

[0057] Ein Datensatz fur ein Software-Modul in der Konfigurations-Datenbank fiir Software-Module umfaBt beispiels- 
weise folgende Datenfelder: 

- Software-Modul 
20 - Ziel-Adressc 

- GroBe 

- Speicherort 

- Prufverfahren 

- Prufsumme 

25 - Teile_Kennungen 

[0058] Das Datenfeld "Ziel-Adresse" gibt die Ziel-Adresse des Ziel-Gerats auf dem Datenbus im Fahrzeug an, z. B. 
#57 fur das Tur-Steuergerat und #20 fur die Zentraleinheit. 

[0059] Das Datenfeld "GroBe" gibt die GroBe des Software-Moduls in KByte an. Diese Angabe wird z. B. fiir eine 
30 Fortschrittsanzeige beim Ubertragen verwendet. Festgestellt wird, wie viele KByte bereits ubertragen sind, und durch die 
Angabe in der Konfigurations-Datei ist bekannt, wie viele KByte insgesamt zu ubertragen sind. Der Quotient gibt den 
Arbeitsfortschritt an, der z. B. als Balken angezeigt wird. 

[0060] Das Datenfeld "Speicherort" gibt an, wo dieses Software-Modul in der Zentrale abgespeichert ist, beispiels- 
weise in Form eines Pfades eines Betriebssystems oder einer ZugrifFsinformation auf eine Datenbank. 
35 [0061] Das Datenfeld "Teile_Kennungen" ist nur dann ausgefiillt, wenn das Software-Modul nicht auf einmal, sondern 
in mehreren Teilen ubertragen wird. 

[0062] Beispielsweise umfaBt der Datensatz fur das Software-Modul [SW- 1 1 1-001] in der Konfigurations-Datenbank 
folgende Eintrage: 


40 7. Datensatz 


Datenfeld 

Inhalt 

Software-Modul 

[SW-111-001] 

Ziel-Adresse 

#20 

Grolie 

256 

Speicherort 

/XY/EUR/APPL/V1 

Prufverfahren 

CRC 

Prufsumme 

4758A08C 

Teile Kennungen 



60 


[0063] Durch den 7. Datensatz wird fcstgclegt, daB die Ubcrtragung des Software-Moduls [SW-111-001] mit dem 
CRC- Verfahren gepriift wird. Durch die Priifung wird festgestellt, ob bei der Ubermittlung zum Fahrzeug und der Spei- 
cherung an Bord des Fahrzeugs ein Ubertragungsfehler aufgetreten ist. Als Prufsumme wird ein CRC-Wert, in diesem 
Bei spiel die Hexadezimalzahl 4758A08C, angegeben. Das Software-Modul wird auf einmal ubertragen, daher ist das 
65 Datenfeld "Teilc_Kcnnungcn" lecr. 

[0064] Falls ein Software-Modul in mehreren Teilen ubertragen wird, so werden jedem Soflware-Modui-Teil ein eige- 
nes Prufverfahren und eine eigene Prufsumme zugewiesen. 

[0065] Fiir jedes der Softwarc-Modul-Tcilc wird in der Konfigurations-Datenbank fur Tcilc ein cigener Datensatz mit 
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folgenden Feldern angelegt: 

- Teile-Kennung 

- GroBe 

- Speicherort 5 

- Priifverfahren 

- Priifsumme 

[0066] Das Datenfeld "Speicherort" gibt an, wo dieser Software-Modul-Teil in der Zentrale abgespeichert ist. 

[0067] Ein Datensatz in der Sicherhcits-Datenbank umfaBt folgende Datenfeldcr: 10 


15 


- Software-Modul 

- Ziel-Gcrate-Typ 

- Signatur 

8. Datensatz 

Datenfeld 

Inhalt 

Software-Modul 

[SW-111-001] 

Ziel-Gerate-Typ 

[HW-1001-001] 

Signatur 

85A47D238 

9. Datensatz 

Datenfeld 

Inhalt 

Software-Modul 

[SW-111-001] 


Ziel-Gerate-Typ 

[HW-1001-002] 

Signatur 

9CA47D236 


20 


25 


30 


35 


40 


[0068] Das Software-Modul [SW-111-001] ist in diesem Beispiel fur zwei Varianten von Ziel-Geraten freigegeben, 
namlich fur die Varianten 001 und 002 des typs HW-1001. Daher wcrdcn zwei vcrschiedcnc Signaturcn erzcugt und in 45 
dem 8. und 9. Datensatz abgespeichert, namlich eine Signatur pro Variante des Ziel-Gerate- fyps. Die Signatur fur eine 
Variante wird vorzugsweise dadurch erzeugt, daB die Variante als Datenstrom behandelt wird und ein Hash-Wert erzeugt 
wird. Mit Hilfe eines geheimen Schliissels wird aus diesem Hash-Wert die Signatur erzeugt. Die Signatur hangt also vom 
Software-Modul und vom geheimen Schlussel ab. Fur die Erzeugung der Signatur wird beispielsweise eine 1024-Bit- 
Verschlusselung nach dem Algorithmus von Rivest-Shamir-Adleman (RSA-Verschlusselung) verwendet. 50 
[0069] Die Erzeugung von Signaturen wird auf einem Rechner durchgefuhrt, der streng gegen unberechtigten ZugrifF 
und gcgen Manipulationcn geschiitzt wird. Beispielsweise bctreibt der Zulicfcrer dicscn Rechner und licfert die beiden 
Varianten und die beiden Signaturen an den Hersteller des Kraftfahrzeuges. Eine andere Ausfuhrungsform ist die, daB 
der Zulieferer lediglich die beiden Varianten an den Hersteller liefert und dieser selber die Signaturen erzeugt. Beispiels- 
weise iibermittclt der Hersteller die Signaturen an den Zulicfcrer, und dieser ubcrtragt die Software-Module auf seine 55 
Ziel-Gerate und verwendet dabei die Signatur fur eine Prufung. Eine dritte Ausfiihrungsform besteht daraus, daB ein zer- 
tifiziertes Trust Center die Signaturen erzeugt und die geheimen Schlussel verwaltet. 

[0070] In einem permanenten, nicht uberschreibbaren Speicher des Ziel-Gerats wird ein offentlicher SchlUssel abge- 
speichert. Der oflentliche Schlussel kann ausgelesen werden, er ist aber sowohl vor versehentlichem als auch vorsiitzli- 
chem tJberschreiben oder Verfalschen oder Loschen geschiitzt. Vorzugsweise versieht der Zulieferer das Ziel-Gerat mit 60 
dem offentlichcn Schlussel. Die Signatur wird nach dem Ubcrtragcn und vor dem Aktivicrcn des Software-Moduls mit 
Hilfe des offentlichen Schliissels gepriift. Durch diese Prufung wird sicheigestellt, daB das Software-Modul von einer 
vertrauenswiirdigen Quelle kommt und nicht verfalscht oder manipuliert wurde. 

[0071] Als On-Board-Ubertragungsprotokoll wird beispielsweise das "Keyword Protocol 2000" (KWP2000) verwen- 
det, das durch ISO 14230-1 und ISO 15765-1 bis 15765-4 und VDA 14230-1 bis VDA 14230-3 standardisicrt wird. Be- 65 
fehle werden in KWP2000 durch Hexadezimal-Zahlen codiert, z. B. der Befehl "ReadEDUIdentification" (Auslesen ei- 
ner TVp-Kennung fur ein Ziel-Gerat) durch $1A,86. Die mit einem Software-Modul iibertragenen Meta-Informationen 
umfassen die flir das Protokoll KWP2000 notwendigen Kommunikations-Paramctcr, die die Obcrtragung an Bord vom 
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PufFerspeicher an ein Ziel-Gerat steuem, z. B. BlockgroBen, Timing-Parameter, Ablaufinformationen und Adresse des 
Gerats auf dem Datenbus. Andere ttbertragungsprotokolle sind ebenfalls geeignet. Die Meta-Informationen werden bei- 
spielsweise ebenfalls in Form einer Tabelle ubertragen. Diese Tabelle wind im Gegensatz zu der Tabelle fur die Freigabe- 
Priifung erst wahrend des Ubertragungsvorganges generiert. 
5 [0072] Nachdem festgestellt wird, daB die ausgewahlten und als freigegeben erkannten Software-Module fehlerfrei 
und unverfalscht iibertragen wurden, werden mindestens folgende Informationen an die Zentrale ubermittelt: 

- eine eindeutige Kennung des Fahrzeugs, 

- welche Software-Module fehlerfrei und unverfalscht iibertragen wurden, 

10 - welches Gcrat, z. B. welcher Diagnosetcster, fur die Obcrtragung verwendet wurde 

- und das Datum und der Zeitpunkt, zu dem die Ubertragung abgeschlossen wurde. 

[0073] Diese Informationen werden in der Zentrale, beispielswcisc in eincm Konfigurations-Managcmcnt-Systcm, ab- 
gespeichert, und zwar bevorzugt in dem Datensatz fur das Fahrzeug. Dort wird weiterhin abgespei chert, wer die Ober- 
15 mittlung veranlafit hat. 

Patentanspriiche 

1 . Verfahren zum Ubertragen von Software-Modulen von einer Zentrale zu einer mobilen Vorrichtung, 
20 insbesondere zu einem Verkehrs- oder Transportmittel, 

mit Hilfe einer Einrichtung zur drahtlosen Dateniibertragung in beiden Richtungen, 
wobei eine Menge von Software-Modulen ausgewahlt wird, 
da dure h gekennzeichnet, 
daB 

25 - Informationen uber die aktuelle Konflguration der mobilen Vorrichtung an die Zentrale Ubermittelt werden, 

wobei diese Informationen eine Auflistung umfassen, welche Ziel-Gerate und welche Software-Module vor 
Beginn der "Qbertragung an Bord der mobilen Vorrichtung tatsachlich vorhanden sind, 

- gepriift wird, welche der ausgewahlten Software-Module fur die aktuelle Konflguration freigegeben sind, 

- und die ausgewahlten und fur die aktuelle Konflguration freigegebenen Software-Module iibertragen wer- 
30 den. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB 

- fur die Ziel-Gerate Gerate-TVp-Kennungen festgelegt werden, 

- flir die Software-Module Software-iyp-Kennungen festgelegt werden, 

- unter Verwendung der Gerate-iyp-Kennungen und Software-I^p-Kennungen festgelegt wird, welche der 
35 ausgewahlten Software-Module fur welche T^pen von Ziel-Geraten freigegeben sind 

- und diese Freigabe-Festlegungen bei der Freigabe-Priifung verwendet werden. 

3. Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, daB 

- Informationen uber eine der Zentrale bekannten Konflguration der mobilen Vorrichtung in einem Konfigu- 
rations-Management-S ystem oder Dokumentations-System abgespeichert werden 

40 - eine Kennung der mobilen Vorrichtung zur Zentrale ubermittelt wird, 

- die an die Zentrale iibermittelten Informationen uber die aktuelle Konflguration mit denen uber die abge- 
speicherten Konflguration verglichen werden 

- und mindestens eine nicht ubermittelte Information iiber die aktuelle Konflguration durch LesezugrifF auf 
die abgespeicherte Konflguration erganzt wird. 

45 4. Verfahren nach einem der Anspriichc 1 bis 3, dadurch gekennzeichnet, daB vor der Obcrtragung der Software- 
Module gepriift wird, ob mit Hilfe der drahtlosen Datenubertragungseinrichtung ein Obertragungskanal mit einer 
fur die tjbertragung ausreichenden Giite aufgebaut werden kann. 

5. Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeichnet, daB 

- Informationen iiber die Identitat der Stelle, die die Ubertragung der Software-Module anfordert, an die Zen- 
50 trale ubermittelt werden 

- und eine Berechtigungspriifung fur die anfordernde Stelle durchgefuhrt wird. 

6. Verfahren nach einem der Anspriiche 1 bis 5, dadurch gekennzeichnet, 

- fur mindestens ein Software-Modul mit Hilfe eines geheimen Schliissels eine Signatur erzeugt wird, 

- an Bord der mobilen Vorrichtung fur mindestens ein Ziel-Gerat ein offentlicher SchlUssel abgespeichert 
55 wird 

- und die Signatur mit Hilfe des ofTentlichen Schliissels gepriift wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, dadurch gekennzeichnet, 

daB bei der Auswahl der Menge von Software-Modulen die aktuelle Konflguration der mobilen Vorrichtung mit ei- 
ner Soli- Konflguration verglichen wird 
60 und die Software-Module in Abhangigkeit von der Abweichung zwischen aktueller und Soil- Konflguration ausge- 

wahlt werden. 

8. Verfahren nach einem der Anspriiche 1 bis 7, dadurch gekennzeichnet, 

daB gemeinsam mit den Software-Modulen Meta-Informationen ubertragen werden, 

die die Verteilung und/oder Ubertragung und/oder Aktivierung der Software-Module an Bord der mobilen Vorrich- 
65 tung steuem. 

9. Verfahren nach einem der Anspriiche 1 bis 8, dadurch gekennzeichnet, 

daB zusatzlich Informationen iiber den aktuellen Betriebszustand der mobilen Vorrichtung an die Zentrale ubermit- 
telt werden 
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in Abhangigkeit von den Betriebszustands-Informationen enlschieden wird, ob die mobile Vfcrriehtung sich in ei- 
nera sicheren Zustand befindet 

und dann, wenn sie sich in einem sicheren Zustand befindet, die iibertragenen Software-Module aktiviert werden. 

10. Verfahren nach einem der Anspriiche 1 bis 9, dadurch gekennzeichnet, 

daB nach der tJbertragung mindestens eines der Software-Module die Information an die Zentrale ubermittelt wer- 
den, 

ob das Software-Modul tatsachlich fehlerfrci an die mobile Vorrichtung ubermittelt wurdc. 

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, da8 

- eine Kennung der mobilen Vorrichtung zur Zentrale ubermittelt wird 

- und in einem Konfigurations-Management-System die Information abgespeichert wird, 

welche Ziel-Gerate und welche Software-Module nach AbschluB der "Obertragung an Bord der mobilen \brrichtung 
tatsachlich vorhanden sind. 

12. Ubertragungs- Vorrichtung zur Durchfuhrung cines Verfahrens nach einem der Anspriiche 1 bis 11, die 

- eine Einrichtung zur drahtlosen Dateniibertragung zwischen Zentrale und mobiler Vorrichtung in beiden 
Richtungen 

- und eine Steuerungs-Einrichtung, die die "Obermittlung von Software- Modulen von der Zentrale zur mobi- 
len Vorrichtung veranlaBt und steuert, 

umfaBt, 

dadurch gekennzeichnet, 

daB die Steuerungs-Einrichtung 

eine Einrichtung zur Ermittlung der aktuellen Konfiguration der mobilen Vorrichtung, 
eine Einrichtung zur Auswahl der Menge von Software-Modulen 

eine Einrichtung zur Prufung, welche der ausgewahlten Software-Module fiir die aktucllc Konfiguration freigege- 
ben sind, 

eine Einrichtung zur Veranlassung der tJbertragung der ausgewahlten und freigegebenen Software-Module 

und eine Einrichtung zur Ermittlung, welche Software-Module fehlerfrei an die mobile Vorrichtung Ubertragen wur- 

den, 

umfaBt. 
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